Beijing, Frühjahr 2021: Auf dem Flughafen Shoudu Guoji Jichang im Nordosten der chinesischen Hauptstadt drängen sich, wie jeden Tag, die Massen. Aus den Fliegern quellen Touristen und Geschäftsleute. Die meisten von ihnen verlassen das Flughafengelände mit der Schnellbahn in die City. Nur eine Gruppe von Männern in dunklen Anzügen steigt in einen Kleinbus, der sie direkt nach Süden fährt. Ihr Ziel ist Langfang, eine Stadt in der Provinz Hebei. Dort steht seit 2016 das größte Rechenzentrum Asiens, das mithilfe von IBM gebaute "Langfang Range International Information Hub", der weltgrößte Cloud-Computing-Komplex.
Mehr als sechs Milliarden Privatnutzer und Unternehmensmitarbeiter greifen mit ihren Smartphones auf die Anwendungen zu, die der chinesische Betreiber Range Technology in Langfang hostet - oder in anderen Superrechenzentren rund um die Welt. Hans Vestberg, Chef des Netzwerkausrüsters Ericsson, hat mit seiner Prognose aus dem Jahr 2011 recht behalten: Mehr als 50 Milliarden Geräte sind inzwischen an das weltweite Datennetz angeschlossen. Über sie werden nicht nur Telefonate und Status-Updates für Soziale Netzwerke übertragen. Auch Patientendaten oder der Stand des Stromzählers wird automatisch über diese Infrastruktur übermittelt.
2021 hängt die globale Gesellschaft am weltweiten Breitbandnetz. Schon heute zeichnet sich ab, dass sich das Netz zum zentralen Nervensystem der modernen Welt entwickelt. "Das Internet und die EDV-Systeme, die wir drumherum aufbauen, werden immer wichtiger für das Funktionieren der Gesellschaft. Unsere Abhängigkeit von ihnen nimmt weiter zu", sagt einer, der es wissen muss: Guus Dekkers ist Corporate CIO des Technologiekonzerns EADS sowie CIO des Flugzeugbauers Airbus in Toulouse. Zu den ganz großen Zukunftsthemen gehört für Dekkers deshalb das Thema IT-Security: "Vor ein paar Jahren war Sicherheit noch eine Frage von ein paar Produkten", sagt er. "Das können Sie heute vergessen. Die Sachlage ist viel komplizierter. Die Bedrohungen werden besorgniserregender, die Angriffe immer vielfältiger und professioneller."
Im Februar 2011 hatte CIA-Chef Leon Panetta bereits die Abgeordneten des amerikanischen Kongresses davor gewarnt, dass das "nächste Pearl Harbour sehr wohl ein Cyber-Angriff" sein könnte. Ob die Welt im Jahr 2021 bereits einen echten Cyber-Krieg gesehen haben wird, in dem ein Staat flächendeckend versucht, die Infrastruktur eines anderen mithilfe digitaler Schädlinge zu zerstören, ist unter Sicherheitsfachleuten zwar umstritten. Kaum jemand bezweifelt aber, dass es 2021 raffinierte Sabotageakte geben wird, bei denen Internet-Kriminelle Stromnetze unterbrechen oder den Wertpapierhandel lahmlegen.
Spionage gehört zum Auftrag
Offizielle Kriegserklärungen wird es dabei nicht geben. Die Attacken kommen plötzlich, und ihre Urheber legen in den digitalen Netzen falsche Fährten, um ihre Spuren zu verwischen. Maßgeschneiderte Angriffe auf Unternehmenssysteme gehören in dieser Zukunft zum Alltag. Mit ihnen verdienen Profi-Hacker ihr Geld, ebenso wie Männer in dunklen Anzügen, so wie sie 2021 in den Kleinbus nach Langfang steigen. "Informationen aus anderen Ländern (also fremden Firmen, Anm. d. Red.) zu beschaffen ist in den Landesverfassungen von China und Russland legitimiert", warnt Herbert Kurek, Referatsleiter beim Bundesamt für den Verfassungsschutz, gebetsmühlenartig.
Vor diesem Hintergrund muss in IT-Sicherheit investiert werden. Nach Berechnungen der Unternehmensberatung Booz & Company könnten die Ausgaben für IT-Sicherheit in Deutschland im Jahr 2021 die Summen für die Innere Sicherheit in Deutschland um das Doppelte übertreffen. Bei Booz geht man für dieses Gedankenspiel davon aus, dass der Markt für IT-Sicherheitsprodukte in Deutschland in den nächsten Jahren jeweils um zehn Prozent steigen wird. Dann würden 2021 in diesem Bereich etwa 8,6 Milliarden Euro ausgegeben (siehe Tabelle oben). "Natürlich muss es nicht so kommen, aber ein jährlich zweistellig wachsender Markt für IT-Security über die nächsten zehn Jahre ist ein realistisches Szenario", sagt Wolfgang Zink, Mitglied der Geschäftsleitung von Booz & Company in München.
Beispiel Stuxnet
Ein wichtiges Argument für diesen Anstieg sind 15.000 Zeilen Code, die seit dem Sommer 2010 Schlagzeilen machen. Der damals entdeckte Computerwurm Stuxnet zielt auf Industriesteuerungsanlagen, die mit einer Siemens-Software betrieben werden. Wer Urheber und Ziel dieses Computerangriffs waren, blieb zunächst unklar. Sicher ist aber, dass Stuxnet Maßarbeit war. Das Schadensprogramm wurde nur aktiv, wenn es eine ganz bestimmte Anlage mit einer Siemens-Steuerung befiel. Diese Anlage war das Steuerpult für die Zentrifugen der iranischen Urananreicherungsanlage in Natanz, wie Sicherheitsfachleute im Laufe der nächsten Monate herausfanden.
Mitarbeiter von Wartungsfirmen hatten den Wurm dann offenbar über infizierte Laptops oder USB-Sticks dort eingeschleppt. Dort befiel Stuxnet die Siemens-Steuerungssysteme und manipulierte die Geschwindigkeit der Zentrifugen so, dass die Motoren von fast 1000 dieser Trennschleudern beschädigt wurden. Durch die Probleme musste die Anlage monatelang heruntergefahren werden. Experten gehen davon aus, dass die Versuche des Iran, waffenfähiges Material für den Bau von Atombomben herzustellen, um zwei Jahre zurückgeworfen wurden.
Wer sich Gedanken darüber macht, wie es um die IT-Sicherheit 2021 bestellt ist, muss dieses kleine Stück Nahost-Geschichte im Blick haben. Dekkers hat alle Informationen, die über das Angriffsprogramm bekannt wurden, natürlich genau verfolgt. "Dass es technisch möglich ist, einen Virus wie Stuxnet zu programmieren, ist für uns keine Überraschung", sagt er. "Überraschend ist eher, dass es der Sicherheits-Community gelang, seine Existenz nachzuweisen und dabei so viele Informationen über den Sinn und die Funktionsweise von Stuxnet zusammenzutragen. Daraus lässt sich ableiten, worauf wir uns alle in Zukunft einstellen müssen."
Klar ist nun, dass es nicht nur theoretisch möglich ist, komplexe Angriffe auf industrielle Anlagen und andere neuralgische Infrastrukturen zu fahren. Es wird getan - und es funktioniert. Vermutlich wird zwar nie mit Sicherheit festgestellt werden, dass hier die amerikanische und die israelische Regierung gemeinsam einen Cyber-Angriff auf die Anlage gestartet haben, wie es Experten vermuten. Klar ist aber, dass Stuxnet für die IT-Sicherheit eine Zäsur darstellt.
Die Büchse der Pandora ist geöffnet, das Zeitalter der Cyber-Waffen, die im Jahr 2021 einen wesentlichen Teil der IT-Bedrohungen darstellen, hat mit Stuxnet begonnen. So wie heute bereits Hacker Viren anderer Hacker unter die Lupe nehmen, um eigene Schädlinge weiterzuentwickeln, werden in Zukunft auch Computerfachleute im Iran oder in China die Computerwaffe aus dem Westen nehmen und Nachfolger entwickeln, die sich gegen die Länder richten, in denen Sicherheitsexperten die Urheber von Stuxnet vermuten.
Für Dekkers ist das Beunruhigende an Stuxnet nicht nur, dass jemand überhaupt so viel Energie in die Programmierung von Angriffsprogrammen steckt, sondern die Frage, ob jenseits der Stuxnet-Programmierer auch andere Entwicklerteams bereits an ähnlichen Cyber-Waffen gearbeitet haben. "Wer sagt denn, dass nicht gerade fünf andere, ähnliche ausgefeilte Angriffsprogramme unterwegs sind, von denen wir nichts mitbekommen?"
Virenscanner - lächerlich
Dekkers arbeitet in puncto Sicherheit eng mit Dieter Schmidbaur, CIO der EADS-Sicherheitsdivision Cassidian, zusammen. "Wir stehen vor Angriffen, die nicht mehr mit klassischen Methoden wie einem Virenscanner oder einer Firewall abgewehrt werden können", sagt Schmidbaur. "Wir haben uns in den vergangenen Jahren darauf konzentriert, die Infrastruktur zu schützen. Aber wir sehen, dass zunehmend der Schutz der Informationen selbst im Fokus stehen muss."
Das bedeutet einen Paradigmenwechsel in der IT-Sicherheit: Man verabschiedet sich von der Idee, dass sich ein System hermetisch abschotten ließe. Stattdessen beobachtet man, was die einzelnen Netzwerknutzer tun. Hierbei werden nach Einschätzung von Dekkers und Schmidbaur Identitäts- und Access-Management-Technologien und die Verwendung von Zertitifkaten eine deutlich wichtigere Rolle spielen als bisher. Großer Bedarf besteht auch an der Weiterentwicklung von Intrusion-Detection-Systemen und anderen Lösungen, um den Netzverkehr zu beobachten, ungewöhnliche Aktivitäten zu entdecken und sie zu unterbinden. Sicherheitskomponenten, die in einem Netz Unregelmäßigkeiten aufspüren, werden 2021 zu den schärfsten Waffen der IT-Abwehr gehören.
Doch auch die klassischen Abwehrwerkzeuge - Antivirensoftware, Firewall und Co. - gehören 2021 weiterhin zur Systemlandschaft, um wenigstens einen Teil der Attacken automatisch abzuwehren. Die Königsdisziplin der Zukunft wird es nach Auffassung von Dekkers und Schmidbaur sein, alle Komponenten in ein einheitliches und effizientes Sicherheitssystem zu integrieren. Innerhalb der EADS gibt es dazu bereits ein Kompetenzzentrum. Das Unternehmen hat bei Cassidian ein Cyber-Security-Center aufgebaut, in dem Lösungen, die die Softwareanbieter verkaufen, mit Eigenentwicklungen kombiniert werden. Cassidian fungiert als Systemintegrator, der für den gesamten EADS-Konzern Sicherheitslösungen bereitstellt.
"Night Dragon" beklaut Ölfirma
Dieses Know-how will die EADS-Tochter in Zukunft auch anderen Untenehmen und Behörden zur Verfügung stellen. Das Unternehmen hat eine eigene Produktlinie für das Thema Cyber-Sicherheit ins Leben gerufen. "Wir haben viele Projekte mit öffentlichen Auftraggebern, auch aus dem militärischen Bereich, für die wir maßgeschneiderte Sicherheitslösungen aufgebaut haben, die es so nicht am Markt gibt", sagt Schmidbaur. "Und es gibt viele neuralgische Einrichtungen, die in Zukunft verstärkt Bedarf haben, ihre Schutzmechanismen zu verbessern." Beispiel dafür seien Ölraffinerien und Kraftwerke. Cassidian will in Zukunft genau solche Einrichtungen als Kunden gewinnen.
Unternehmen wie Google, Adobe, Yahoo, der Chemiekonzern DuPont, das Rüstungsunternehmen Northrop Grumman oder die Bank Morgan Stanley verzeichneten 2009 und 2010 offenbar von China ausgehende Angriffe - die "Operation Aurora". Bei einer anderen Angriffsreihe, der Fachleute den Namen "Night Dragon" verpassten, stahlen Cyber-Diebe in fünf großen Öl- und Gaskonzernen wertvolle Unternehmensinterna: Informationen über Projektfinanzierungen, Gebote für Aufträge und Lizenzverhandlungen für neu zu erschließende Gas- und Ölfelder waren entwendet worden. In mehr als der Hälfte der 500 größten Unternehmen auf der Welt fanden Computerforensiker Rechner, die mithilfe eines Trojaners als Teil des "Mariposa"-Botnets ferngesteuert wurden. Unter den betroffenen Unternehmen waren 40 internationale Banken.
Wir wissen nicht, wer die Männer in den dunklen Anzügen sind, die 2021 in den Kleinbus nach Lang-
fang steigen. Dass es EU-Beamte sind, die die Umsetzung der europäischen Datenschutzverordnung prüfen, scheint zurzeit unwahrscheinlich.